De ontwikkelingen rond het coronavirus, COVID-19, gaan razendsnel. In ons kennisportal over het coronavirus vindt u onze juridische artikelen en andere relevante content. Bekijk het kennisportal

  1. Home
  2. Kennis
  3. Artikelen
  4. Cyber Security Raad roept op tot spoedreparatie Wbni voor versneld delen van incidentinformatie door NCSC

Cyber Security Raad roept op tot spoedreparatie Wbni voor versneld delen van incidentinformatie door NCSC

De CSR heeft de minister van Justitie en Veiligheid onlangs opgeroepen om vaart te zetten achter het creëren van mogelijkheden voor het Nationaal Cyber Security Centrum (NCSC) om informatie over cyberincidenten te delen met belangrijke schakelorganisaties.
Auteur artikel Nynke Brouwer
Gepubliceerd 02 maart 2021
Laatst gewijzigd 02 maart 2021
Leestijd 

Het NCSC heeft een belangrijke taak om dreigings- en incidentinformatie te verspreiden, zodat organisaties en uiteindelijk ook eindgebruikers tijdig de juiste maatregelen kunnen treffen. Dit informatiemechanisme kan een belangrijke bijdrage leveren aan het voorkomen van cyberincidenten. Het NCSC loopt echter tegen juridische beperkingen aan om deze informatie daadwerkelijk te kunnen delen. Dat is onwenselijk. De minister van Justitie & Veiligheid heeft begin dit jaar al aangekondigd dat hij een wijziging van de Wbni zal bezien. Een wetswijziging kost echter tijd. De CSR roept dan ook terecht op om het langdurige proces van een wetswijziging niet af te wachten, maar de obstakels door middel van een spoedreparatie van de wet weg te nemen.

Wbni: meldplicht cyberincidenten voor aanbieders van essentiële diensten, andere vitale aanbieders en digitaledienstverleners

De Wet beveiliging netwerk- en informatiesystemen (Wbni) is de Nederlandse implementatie van de Europese Richtlijn Beveiliging Netwerk- en Informatiesystemen (NIB-Richtlijn). De Wbni en het bijbehorende Besluit beveiliging netwerk- en informatiesystemen (Bbni) schrijven onder andere bepaalde beveiligingsvereisten voor.

Daarnaast bepaalt de Wbni dat aanbieders van essentiële diensten (AED’s), andere vitale aanbieders en digitaledienstverleners bij cyberincidenten die aanzienlijke gevolgen hebben voor de continuïteit van de verleende (essentiële) dienst een melding moeten maken bij het NCSC. AED’s moeten daarnaast ook melden bij de sectorale toezichthouders. De digitaledienstverlener moet ook melden bij het CSIRT voor digitale diensten.

Welke bedrijven zijn aangewezen als AED’s is bepaald in het Bbni en betreft bedrijven en organisaties in verschillende sectoren:

  • Energie: netbeheerders van de hoogspanningsnetten en het gastransportnet, de NAM en de Stichting Centraal Orgaan Voorraadvorming Aardolieproducten;
  • Vervoer: De Divisie Havenmeester van het Havenbedrijf Rotterdam, Schiphol, de Luchtverkeersleiding, Maastricht Upper Area Control Centre, Aircraft Fuel Supply, de Koninklijke marchaussee en elke luchtvaartmaatschappij met minimaal 25% van het totaal aantal vliegbewegingen op Schiphol per kalenderjaar;
  • Bankwezen: kredietinstellingen die bij besluit van DNB zijn aangewezen;
  • Infrastructuur voor de financiële markt: bij besluit van DNB aangewezen exploitanten van handelsplatformen en centrale tegenpartijen;
  • Drinkwater: drinkwaterbedrijven in de zin van de Drinkwaterwet;
  • Digitale infrastructuur: bijvoorbeeld de aanbieder van een internetknooppunt.

‘Andere vitale aanbieders’ zijn in de Bbni aangewezen in de volgende sectoren: nucleair, keren en beheren, financieel en elektronische communicatienetwerken en -diensten/ICT. Deze laatste categorie betreft netwerken die telefoon-, sms- of internettoegangsdienst aan minimaal 1 miljoen eindgebruikers aanbieden.

Taak NCSC: informeren over dreigingen en incidenten met betrekking tot netwerk- en informatiesystemen

Artikel 8 van de NIB-Richtlijn schrijft de Lidstaten voor om minstens één centraal contactpunt voor de beveiliging van netwerk- en informatiesystemen aan te wijzen. In Nederland is dat het NCSC. In die hoedanigheid ontvangt het NCSC niet alleen de meldingen van cyberincidenten, maar ook, zo schrijft de CSR, “elke dag duizenden meldingen over Nederlandse IP-adressen waar zich gecompromitteerde systemen bevinden.”

Op grond van artikel 3 lid 1 Wbni moet het NCSC op de eerste plaats de overheid en de vitale aanbieders informeren en adviseren over dreigingen en incidenten met betrekking tot netwerk- en informatiesystemen. Op de tweede plaats moet het NCSC deze dreigingsinformatie delen met andere partijen die in de Wbni zijn voorgeschreven, de zogenaamde ‘schakelorganisaties’:

Het doorgeven van informatie aan deze schakelorganisaties is belangrijk. Indien het NCSC zich enkel zou richten op de vitale infrastructuur, wordt een belangrijk deel van de Nederlandse bedrijven en organisaties, zoals het MKB en ZZP’ers, gemist. Het is dan ook niet voor niets dat één van de doelstellingen van de Nationale Cyber Security Agenda (NCSA) luidt dat er een landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden wordt ingericht waarin informatie over cybersecurity breder, efficiënter en effectiever wordt gedeeld tussen publieke en private partijen.

Specifiek voor de niet-vitale sector is in 2018 het Digital Trust Center (DTC) opgericht. Op dit moment staat in ieder geval het DTC ook op de lijst om te worden gekwalificeerd als OKTT. Op die manier is het verspreidingsbereik van relevante informatie veel groter.

Obstakels bij delen informatie

Voor een goed werkend landelijk dekkend stelsel van cybersecurity is het uitwisselen van informatie een vereiste. Dan moeten natuurlijk wel alle relevante partijen worden bereikt. Al eerder is in onderzoek geconstateerd dat dat op dit moment niet het geval is. Er bestaan juridische obstakels die het delen van dreigingsinformatie in de weg staan, bijvoorbeeld waar het gaat om persoonsgegevens en herleidbare vertrouwelijke informatie. Bij persoonsgegevens kan de Algemene Verordening Gegevensbescherming (AVG) een probleem zijn. Bij herleidbare vertrouwelijke informatie is dit, gek genoeg, de Wbni zelf, zo constateert de CSR.

Bij het uitwisselen van dreigingsinformatie gaat het vaak over grote hoeveelheden data, bijvoorbeeld vele IP-adressen. Uit Europese rechtspraak blijkt dat IP-adressen kunnen worden aangemerkt als persoonsgegevens in de zin van de AVG. Dat betekent dat voor het delen van die gegevens (de ‘verwerking’) een grondslag nodig is. Op zich kan het NCSC zich waar het gaat om delen van informatie met de vitale sector beroepen op de uitvoering van haar wettelijke taak van openbaar belang, zoals neergelegd in de Wbni (artikel 6 lid 1 sub e AVG). Gaat het echter om de niet-vitale sector, dan is het gebruik van deze grondslag lastig vanwege het in de AVG opgenomen noodzakelijkheidsvereiste. Als het NCSC de gegevens doorgeeft aan bijvoorbeeld de OKTT’s of computercrisisteams en deze organisaties kunnen daar vervolgens op hun beurt niets mee, dan is de vraag of het NCSC wel aan het noodzakelijkheidsvereiste voldoet. Dit leidt tot een beperking van het delen van informatie en tot extra handelingen en onderzoek door zowel het NCSC en de ontvangende schakelorganisaties.

Met betrekking tot ‘vertrouwelijke informatie’ is een onderscheid te maken tussen herleidbare en niet-herleidbare vertrouwelijke informatie. Vertrouwelijke informatie die herleidbaar is tot een aanbieder, mag het NCSC slechts met een beperkt aantal partijen delen, namelijk de CSIRT’s, de aangewezen computercrisisteams en de inlichtingen- en veiligheidsdiensten (artikel 20 lid 2 Wbni). De OKTT’s staan hier dus niet bij.

Dreigingsinformatie, die soms ook persoonsgegevens bevat, mag wél met de OKTT’s worden gedeeld (zie hiervoor). Dreigingsinformatie kan echter ook herleidbare vertrouwelijke informatie bevatten, die niet met de OKTT’s mag worden gedeeld. Dit leidt ertoe dat het NCSC informatie over bijvoorbeeld kwetsbaarheden in systemen van specifieke bedrijven niet met de OKTT’s mag delen. Het spreekt voor zich dat dit niet wenselijk is, omdat dit een obstakel vormt voor een adequaat landelijk dekkend stelsel van cybersecurity.

Oproep CSR

De urgentie van gecoördineerde betere cybersecurity is groot. Berichten over grote cyberincidenten verschijnen steeds vaker in de media. De afhankelijkheid van ICT, zowel wat betreft gegevens(verwerking) als operationele processen, is volledig; analoge alternatieven zijn steeds minder beschikbaar.

Vanwege deze urgentie adviseert de CSR de regering om echt vaart te zetten achter de wijziging van de Wbni, bijvoorbeeld via een spoedreparatie, zodat het delen van dreigings- en incidenteninformatie soepeler verloopt. Deze oproep lijkt mij meer dan terecht. Laten we hopen dat de regering dit inderdaad met hoge prioriteit oppakt.

Vragen?

Heeft u vragen over uw wettelijke verplichtingen rondom cybersecurity, privacy of heeft u hulp nodig bij cyberincidenten? Neem dan contact op met Nynke Brouwer of een van de andere leden van het Dirkzwager Cybersecurity Team.